La norma para las notificaciones de violaciones de datos

La Ley de Notificación de Violación de Datos de Alabama de 2018 o S.B. 318 para abreviar es una ley de notificación de violación de datos que se aprobó en 2018. Como todos los demás estados dentro de los Estados Unidos habían aprobado algún tipo de legislación de notificación de violación de datos antes de 2018, Alabama se convirtió efectivamente en el último estado dentro de los Estados Unidos en aprobar una ley perteneciente a la regulación de incidentes de violación de datos. En este punto, la S.B. 318 establece los pasos y medidas que las empresas y organizaciones que operan dentro del estado de Alabama deben cumplir en caso de que dichas entidades experimenten una violación de datos u otro incidente de seguridad relacionado. Además, la ley también establece las sanciones a las que se exponen las empresas y organizaciones de Alabama en caso de incumplimiento de las disposiciones establecidas en la ley.

¿Cuál es el alcance y la aplicación de la Ley de Notificación de Fuga de Datos de Alabama?

En términos del alcance y la aplicación de la Ley de Notificación de Violación de Datos de Alabama de 2018 (S.B. 318), la ley es aplicable a las entidades cubiertas y sus agentes terceros. Según S.B. 318, una entidad cubierta se define como “una persona, empresa unipersonal, 9 sociedad, entidad gubernamental, corporación, sin fines de lucro, fideicomiso, 10 patrimonio, asociación cooperativa u otra entidad comercial que 11 adquiere o utiliza información sensible de identificación personal.” Por otra parte, la ley define a un agente externo como “una entidad que ha sido contratada para mantener, almacenar, procesar o a la que se permite acceder de otro modo a información confidencial de identificación personal en relación con la prestación de servicios a una entidad cubierta”.

¿Cuáles son los requisitos de las entidades cubiertas y sus agentes terceros?

En virtud de la Ley de notificación de violación de datos de Alabama de 2018, las entidades cubiertas y sus agentes terceros que recopilan datos personales durante el curso de sus operaciones deben proporcionar a todas las partes afectadas una notificación por escrito en caso de que se produzca una violación de datos. Estas notificaciones deben incluir información que detalle lo siguiente:

• La fecha estimada, real o el intervalo de fechas en que se produjo la violación de datos.
• Una descripción detallada de todos los datos personales que se divulgaron como resultado de la violación.
• Una descripción de todas las acciones y medidas que se tomaron en nombre de la entidad cubierta y sus agentes terceros para restaurar “la seguridad y confidencialidad de la información personal afectada por la violación.”
• Las medidas que los consumidores afectados pueden tomar para protegerse de la usurpación de identidad como consecuencia de los datos personales que se revelaron en la violación.
• La información de contacto que los consumidores pueden utilizar para obtener más detalles e información de las entidades cubiertas y sus agentes en relación con la violación de datos.

Además, la ley S.B. 318 también obliga a las entidades cubiertas y a sus agentes a notificar las violaciones de datos a la Oficina del Fiscal General de Alabama en los casos en que más de 1.000 residentes del estado se vean afectados por una violación de datos. Estas notificaciones deben incluir detalles relativos a:

• Una descripción general o sinopsis de los acontecimientos en torno a la violación de datos u otro incidente de seguridad.
• El número aproximado de residentes en el estado que se han visto afectados por la violación de datos.
• Cualquier servicio que la entidad cubierta o sus agentes terceros estén ofreciendo a los residentes de Alabama que se hayan visto afectados por la violación de datos, de forma gratuita, así como instrucciones específicas que detallen las formas en que los consumidores pueden utilizar dichos servicios.
• El nombre, la dirección, el número de teléfono y la dirección de correo electrónico del empleado o agente de la entidad cubierta que pueda proporcionar información adicional sobre la violación.

Qué tipos de información personal están cubiertos?

En virtud de la Ley de Notificación de Violación de Datos de Alabama de 2018, los siguientes tipos de información personal están protegidos por la ley:

• Números de seguridad social y de identificación fiscal.
• Números de cuentas financieras, códigos de seguridad, contraseñas, números PIN, fechas de caducidad y cualquier otra forma de información numérica que pueda utilizarse para identificar indirectamente a una persona.
• Información personal relacionada con el historial de salud mental o física de un individuo, diagnóstico, condición, tratamiento u otras cuestiones relacionadas.
• Un número de póliza de seguro médico, así como otras formas de números de identificación e identificadores únicos.
• Un nombre de usuario o dirección de correo electrónico en combinación con una contraseña o pregunta y respuesta de seguridad que proporcionaría acceso a la cuenta.

En cuanto a la aplicación de la Ley de notificación de violación de datos de Alabama de 2018, la ley es aplicada por la Oficina del Fiscal General de Alabama. Posteriormente, las entidades cubiertas y sus agentes terceros que no cumplan con las disposiciones establecidas en la ley están sujetos a una serie de sanciones y penas. Dichas sanciones incluyen multas monetarias de “hasta ,000 por infracción, sin exceder 0,000 por infracción”. Además, la ley también permite a los ciudadanos de Alabama presentar cargos de responsabilidad civil contra las partes cubiertas que violen sus derechos en virtud de la ley. Además, las infracciones de la S.B. 318 también se consideran “prácticas comerciales ilegales en virtud de la Ley de Prácticas Comerciales Engañosas de Alabama, Capítulo 19, Título 8, Código de Alabama de 1975”.

Dado que las violaciones de datos son cada vez más frecuentes debido al aumento del uso de Internet en todo el mundo, Alabama se ha convertido en el último estado de EE.UU. en elaborar una legislación que obliga a las empresas y organizaciones a cumplir unas directrices específicas en relación con dichas violaciones. Gracias a esta legislación, los residentes en el estado de Alabama disponen de medios para reclamar justicia e indemnización en caso de que se vulneren sus derechos con arreglo a la ley. Sin embargo, lo que es más importante, la aprobación de esta legislación acerca al país a una política integral de protección de datos tanto estatal como, en última instancia, federal, como los pasos que ha dado la UE al promulgar su histórico Reglamento General de Protección de Datos o GDPR.